image

Legoland Duitsland lekt via IDOR-kwetsbaarheid gegevens duizenden klanten

woensdag 13 april 2022, 14:21 door Redactie, 3 reacties

Legoland Duitsland heeft via een IDOR-kwetsbaarheid de gegevens van duizenden klanten gelekt. Alleen het aanpassen van een getal in een url was voldoende om reserveringsgegevens te downloaden die teruggingen tot 2015. Het gaat onder andere om verblijfsperiode, namen en adresgegevens van klanten die de reservering voor Legoland maakten, alsmede de personen die bij hen waren.

Een gast ontdekte het datalek op kinderlijk eenvoudige wijze. Via een url kon hij zijn eigen reservering bekijken. Deze url zag er zo uit: mylogin.legolandholidays.de/api/anmeldung/document/100001/0/CONFIRMATION. Door het aanpassen van het getal zag de gast de reservering van een ander gezin. Alle reserveringen waren oplopend en eenvoudig als pdf-document te downloaden. Het aantal reserveringen ging door tot het getal 604104.

In een reactie tegenover Heise Online laat Legoland weten dat het zes maanden geleden een nieuw reserveringssysteem introduceerde dat het datalek veroorzaakte. Het systeem biedt gasten binnen de nieuwe klantenportaal een overzicht van historische reserveringsgegevens. Sinds de overstap naar het nieuwe systeem waren de klantgegevens van de afgelopen zeven jaar zichtbaar. Het systeem is inmiddels uitgeschakeld en het datalek gemeld bij de privacytoezichthouder. Tevens is er een uitgebreid onderzoek naar het datalek aangekondigd.

IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor.

Zo kreeg de Infectieradar van het RIVM met een IDOR-kwetsbaarheid te maken waardoor vertrouwelijke gegevens van deelnemers voor derden toegankelijk waren. De webwinkel van Blokker lekte op deze manier klantgegevens en bij een Weens bedrijf zorgde een IDOR-kwetsbaarheid ervoor dat de uitslagen van 136.000 coronatests lekten. Een IDOR-kwetsbaarheid zorgde bij Belastingsamenwerking West-Brabant ervoor dat de gegevens van een onbekend aantal belastingplichtigen in de regio lekten en Britse gemeenten en districten lekten op deze manier privégegevens van duizenden Britten met een belastingschuld.

Reacties (3)
13-04-2022, 15:00 door Anoniem
Auw.... Dit is toch wel heel basis.... Gelukkig hebben ze meer verstand van bouwen met blokjes.
13-04-2022, 15:03 door Anoniem
Ik heb zomaar het idee dat dat systeem geen penetration test heeft ondergaan. Dat je dit soort zaken niet opmerkt als leverancier?! Zolang er programmeurs rondlopen die niet zijn geschoold in informatiebeveiliging (en dat zijn er een hoop, gegeven alle omscholingscursussen door programmeursgebrek) zal dit ben ik bang schering en inslag blijven.
14-04-2022, 08:24 door Anoniem
Maar er moet meer digitaal. Meer, meer.
Wat kan er nou fout gaan?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.